Далее следует подготовить материал для создания клонов на основе базового проекта – для каждого управляемого устройства создайте локальный сертификат, политику безопасности (LSP), файлы с лицензиями на S-Terra Gate и КриптоПро CSP, сохранив все это на Сервере управления. Все эти действия описываются далее.
1. Получите утилиту cryptcp вместе с лицензией для тестирования с сайта компании КРИПТО-ПРО по адресу http://www.cryptopro.ru/products/other/cryptcp. Разместите ее в каталоге КриптоПро и зарегистрируйте лицензию:
C:\Program Files\Crypto Pro\CSP\cryptcp –sn XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
2. Подключите USB-флеш к Серверу управления. Узнайте имя доступной USB-флеш, на которую будут записываться подготовленные скрипты и контейнер, выполнив команду:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -enum -provtype gost2001 -info -type PP_ENUMREADERS
В результате будут выданы имена доступных считывателей, например:
0x0102 REGISTRY ?aano?
0x0102 FAT12_E Aeneiaia E
0x0102 FAT12_A Aeneiaia A
3. Создайте ключевую пару, запрос на локальный сертификат и отправьте его в УЦ. Если УЦ настроен на автоматическое издание сертификатов при получении запросов, то созданный сертификат будет установлен в контейнер с ключевой парой на USB-флеш, например, FAT12_E, которую укажите в команде, например, для клиента gate01:
"C:\Program Files\Crypto Pro\CSP\cryptcp.exe" -creatcert -dn "CN=gate01" -both -km -cont "\\.\FAT12_E\gate01" -exprt -CA http://10.0.10.111/certsrv -dm
· При создании случайных последовательностей можно избежать интерактивных запросов, если заранее сгенерить их с использованием ПАК «Аккорд-АМДЗ» или электронного замка «Соболь», а затем в КриптоПро CSP настроить ДСЧ на «Исходный материал».
· При задании команды в OC Windows пароль в ней задать невозможно – будет запрашиваться интерактивно (Рисунок 269). Обязательно задайте пустой пароль.
Рисунок 269
· Утилиту cryptcp можно использовать в OC Unix, которая входит в состав пакета КриптоПро. При создании ключевой пары и контейнера можно избежать интерактивного задания пароля:
/opt/cprocsp/bin/ia32/cryptcp -creatcert -dn "CN=gate01" -both -km -cont '\\.\FLASH\gate01' -exprt -pin "" –CA "http://10.0.10.111/certsrv" -dm -enable-install-root
4. Создайте на Сервере управления каталог, например, C:\Clone. Скопируйте созданный локальный сертификат в кодировке DER из контейнера в файл C:\Clone\gate01.cer:
"C:\Program Files\Crypto Pro\CSP\cryptcp.exe" -CSPcert -cont \\.\FAT12_E\gate01 -df C:\Clone\gate01.cer -der
5. Создайте файл C:\Clone\st_gate01.lic с лицензией на продукт S-Terra Gate, например:
[license]
CustomerCode=test
ProductCode=GATE1000
LicenseNumber=1
LicenseCode=01234567890ABCDEF
6. Создайте файл C:\Clone\cp_gate01.lic с лицензией на продукт КриптоПро CSP, например:
LicenseSerialNumber=12345-12345-12345-12345-12345
7. Создайте файл алиасов сетевых интерфейсов C:\Clone\ia_gate01.txt, например:
FastEthernet0/0=eth0
FastEthernet0/1=eth1
FastEthernet0/0=eth2
8. Создайте файл с настройками сетевых интерфейсов C:\Clone\ifdesc_gate01.txt, например,
[ExtendedDeviceRoutes]
!Route to net of UPServer (10.0.0.0/16) via gate (192.168.10.2)
Route_0=10.0.0.0/16 192.168.10.2
!Description eth0
[IF_eth0]
STATE=UP
Address_0=192.168.10.8/24
!Description eth1
[IF_eth1]
STATE=UP
Address_0=172.16.1.5/12
!Description eth2
[IF_eth2]
STATE=UP
Address_0=172.16.2.5/12
9. Создайте файл нового проекта C:\Clone\gate01.vpd на основе базового проекта, выполнив команду:
"C:\Program Files\S-Terra\S-Terra KP\vpnmaker.exe" replace -fi C:\Clone\base_gate.vpd -fo C:\Clone\gate01.vpd -lic C:\Clone\st_gate01.lic -cryptolic C:\Clone\cp_gate01.lic -cert C:\Clone\gate01.cer -certkey \\.\HDIMAGE\HDIMAGE\\vpngate01 -certkeypwd 12345678 -ifaliases C:\Clone\ia_gate01.txt -ifdesc C:\Clone\ifdesc_gate01.txt
где
\\.\HDIMAGE\HDIMAGE\\vpngate01 – имя контейнера на жестком диске нового устройства, в который будет скопирован контейнер gate01 с USB-флеш. Контейнер на USB-флеш будет найден по локальному сертификату.
certkeypwd - пароль на скопированный контейнер на жестком диске.
10. Создайте на Сервере управления учетную запись клиента gate01 для нового проекта, а потом переведите его в состояние Enable:
"C:\Program Files\S-Terra\S-Terra KP\upmgr.exe" create -i gate01 -p C:\Clone\gate01.vpd
"C:\Program Files\S-Terra\S-Terra KP\upmgr.exe" enable -i gate01
11. Создайте два скрипта для настройки S-Terra Gate и инсталляции (инициализации) Клиента управления на управляемом устройстве, сохранив их на USB-флеш в каталоге gate01:
mkdir E:\gate01
"C:\Program Files\S-Terra\S-Terra KP\upmgr.exe" get -i gate01 -d E:\gate01
В каталоге gate01 будут сохранены два скрипта:
setup_product.sh – скрипт для настройки продукта S-Terra Gate
setup_upagent.sh – скрипт для инсталляции (инициализации) продукта VPN UPAgent.
12. Скопируйте дистрибутив Клиента управления с Сервера управления на USB-флеш:
C:\Program Files\S-Terra\S-Terra KP\upagent\<OS>\vpnupagent.tar
Таким образом, на USB-флеш записаны два скрипта и контейнер с ключевой парой.